Почему идеальной защиты от DDoS-атак не существует
Защита информационных систем от DDoS-атак является задачей нетривиальной, которая требует комплексного подхода к её решению и учёта всех факторов риска. Это связано, прежде всего, с многоуровневостью, масштабностью и непредсказуемостью таких атак. Даже в случае принятия превентивных мер для её отражения полностью обезопасить информационную систему от поражения DDoS невозможно. Рассмотрим более детально существующие возможности для организации такой защиты и их ограничения.
У любой защиты есть предел
Современные решения по организации защиты от DDoS обычно включают набор технологических решений по предотвращению и уменьшению последствий атак, а также автоматизированные средства обнаружения и немедленного реагирования. Рассмотрим их более детально, указывая на некоторые их ограничения.
Технологические приёмы и средства защиты
Приведём список технологических решений, направленных на предотвращение и уменьшение последствий атак:
Маршрутизация через «null route». Перенаправление входящего трафика через «нулевой маршрут» поможет разгрузить канал и избавиться от огромного количества «нестандартных» пакетов, участвующих в атаке. Недостаток метода проявляется в том, что вместе с «лишними» пакетами может «уйти» ценный трафик, необходимый владельцу информационной системы.
Использование средств идентификации и управления ботами. Это позволяет подключиться к каналу управления ботнетом и изолировать его от C&C сервера. В результате, злоумышленник «потеряет управление» и не сможет использовать ботнет для атаки. Среди ограничений подхода можно назвать, например, следующие: сложности в определении размера ботнета; малая эффективность метода в случае больших P2P-сетей.
Применение CDN (Content Delivery Network). Наличие географически распределённой сети серверов позволит ускорить загрузку сайтов и разгрузить канал при его переполнении в случае DDoS-флуда. К недостаткам метода можно отнести его малую эффективность в случае масштабных атак.
Идентификация зараженных устройств по их «fingerprints». Многие инструменты управления ботами используют базы данных с цифровыми отпечатками устройств. Это позволяет блокировать устройства с доказанной или предполагаемой вирусной активностью.
Балансировка нагрузки. Это позволяет перераспределить трафик в случае масштабной атаки и снизить нагрузку на канал и сервер. Таких методов существует очень много, например, это технология Anycast, которая позволяет назначить один IP сразу нескольким узлам для перераспределения трафика в случае его неожиданного увеличения. Это защитит ресурсы от перегрузки.
Локальные устройства контроля и фильтрации трафика. Позволяют получить быстрый механизм для проверки и очистки входящего трафика без необходимости его отправки в облачный сервис. Преимущественное использование для веб-проектов с низким уровнем задержки, например, игровых центров или конференцсвязи.
Установка ограничений на скорость запросов. Это стабилизирует время выполнения входящих запросов путём лимитирования их количества в единицу времени, что позволяет избежать перегрузки сервера. Недостаток метода – снижение скорости обработки запросов для пользователя.
Использование центров очистки трафика. Это позволяет фильтровать вредоносный трафик и пропускать полезный. При этом могут применяться, например, такие методы, как аутентификация трафика и обнаружение аномалий.
Фильтрация протоколов. Блокировка «лишнего» трафика здесь происходит на основе поведенческого анализа работы протоколов связи, например, таких, как HTTPS, TCP и DNS. В случае отклонения от нормы – трафик блокируется. Это позволяет, например, блокировать amplification-атаки на DNS-сервера.
Инструменты ИИ и машинного обучения. Входят в состав средств обнаружения и способны обеспечить адаптивную защиту за счёт постоянного обучения / самообучения на основе анализа трафика. Эти средства способны уменьшить количество ложных срабатываний (false positives).
Применение WAF (Web application firewalls). Файрволы веб-приложений позволяют обеспечить защиту сети на уровне приложений. В то время, как стандартные файрволы защищают сеть на уровне портов и не в состоянии различить дозволенный трафик от вредоносного.
Автоматизированные средства обнаружения и реагирования
К этой группе относятся инструменты, поддерживающие следующие технологии:
- NDR (Network Detection and Response) – обнаружение и реагирование в сети;
- EDR (Endpoint Detection and Response) – обнаружение и реагирование на конечных точках;
- UEBA (User and Entity Behavior Analytics) – анализ поведения пользователей и объектов.
Такие программы на основе анализа сетевой архитектуры и трафика строят базовые модели поведения сети, которые становятся эталонными при выявлении происходящих в сети отклонений от нормы. В случае появления признаков DDoS-штурма, в режиме реального времени запускается процесс реагирования на инциденты, в результате чего, могут, например, автоматически разрываться подозрительные сетевые соединения или выполняться иные действия по блокированию атаки.
Одним из недостатков использования этих инструментов является их значительная стоимость, что не позволяет организовать защиту от DDoS мелким компаниям и частным лицам.
Кроме того, существуют ограничения по их установке, например, на недорогой shared-хостинг из-за большого потребления ресурсов.
Защита = компромисс (безопасность против пользователей)
Использование практически любых инструментов защиты от DDoS одновременно ухудшает качество работы пользователей с веб-системой. Например, это может касаться установки ограничений на скорость выполнения запросов или потери пользовательского трафика при его перенаправлении через «нулевой маршрут», о чём уже говорилось выше.
С другой стороны, ослабив «передний фланг» системной защиты, можно потерять доверие пользователей в случае, например, долговременной недоступности сайта из-за массированной DDoS-атаки.
Современные VPS/VDS-серверы и качественный хостинг позволяют эффективно противостоять большинству распространённых DDoS-угроз, сохраняя стабильную работу веб-ресурса для легитимных пользователей.
Выходом из ситуации может стать поиск «золотой» середины между вопросами обеспечения безопасности системы и комфортной работой пользователей. Однако достичь этого не так просто, как кажется, из-за сложности механизмов действия DDoS и всё возрастающих требований пользователей.
Ложные срабатывания и почему они неизбежны
Появление проблемы false positives или ложных срабатываний обусловлено «издержками» работы механизмов защиты от DDoS. Это может проявляться, например, при «отсеве» полезного трафика вместо вредоносного на «нулевом маршруте» или ошибочном блокировании полезного трафика в Центрах фильтрации и очистки.
На данный момент нет идеальных механизмов фильтрации и обнаружения, поэтому возникновение ошибок типа false positives неизбежно. Однако, чем выше уровень этих механизмов, тем меньше значение false positives. Первым шагом к этому стало внедрение средств ИИ и, соответственно, улучшение адаптивности систем обнаружения и фильтрации. По мере увеличения степени их интеграции с ИИ проблема будет уменьшаться и в перспективе может исчезнуть навсегда.
Почему L7-атаки практически невозможно отличить от людей
Атаки уровня приложений потому так и называются, что они осуществляются на прикладном уровне по протоколу HTTP. Такие вредоносные запросы абсолютно ничем не отличаются от запросов пользователей из адресной строки браузера и имитируют обычный трафик к веб-системе. Именно поэтому стандартные файрволы, работающие на уровне портов, никак на него не реагируют.
Поэтому одна из главных опасностей атак уровня L7 – трудность своевременного обнаружения. Обнаружить атаку можно лишь в случае появления необычно высокой активности в «тихое» время суток или по другим, резко изменившимся показателям работы сайта.
Экономика: атаковать дешевле, чем защищаться
В сети несложно найти многочисленные DDoS-сервисы с чёткими тарифами на проведение DDoS-атак. Например, средняя цена на атаку продолжительностью около трёх часов составит всего 60$. Цены могут колебаться в зависимости от поставленных задач и характеристик используемых ботнетов. Самые дешёвые ботнеты – созданные на базе IoT-устройств. Самые дорогие – на базе серверов. Атаки на правительственные учреждения самые дорогие.
Стоимость качественной защиты от DDoS, как мы успели убедиться, может составлять десятки тысяч долларов и выше, в зависимости от применяемых инструментов и технологий. И это, конечно же, несоразмерно со средней стоимостью трёхчасовой атаки, которая легко может «положить» сервер с недостаточным уровнем ресурсов и применяемых мер защиты.
Постоянная эволюция атак
Проводимые в сети DDoS-атаки постоянно «совершенствуются», чтобы максимально эффективно достигать своих целей. Их эволюция наблюдается сразу по нескольким направлениям, главные из которых: совершенствование архитектуры и канала управления C&C ботнетом; появление новых видов ботнетов.
Первые DDoS-атаки использовали ботнеты с централизованной архитектурой и каналом управления на базе IRC. Позже наметился переход к децентрализованной P2P-архитектуре с размещением C&C серверов в облачных средах, а также широкому использованию анонимных защищённых сетей, например, таких как I2P или Tor. Всё это оптимизировало управление ботнетом и сделало его менее уязвимым для обнаружения и блокирования.
Очередной виток эволюции DDoS связан с появлением новых видов ботнетов: мобильных, на базе IoT-устройств и даже социальных, нацеленных на онлайн-социальные сети. Так, одна из крупнейших в мире атак была осуществлена в 2016 году. Для её реализации был задействован ботнет, состоящий из более, чем 150 тысяч зараженных IoT-устройств, что положило начало очередной спирали развития DDoS.
Вывод: защита — это управление рисками, а не гарантия
Как мы успели убедиться, на сегодняшний день не существует готовых решений, которые бы гарантировали абсолютную защиту от DDoS. Многие из них носят эвристический характер и являются довольно грубыми инструментами защиты, пагубно влияя на показатель false positives. Только лишь повсеместное внедрение и развитие автоматизированных средств обнаружения и реагирования на базе ИИ и машинного обучения могут со временем стабилизировать ситуацию и изменить её к лучшему.